La Citadelle Electronique: Identité Numérique et Authentification Forte

Sylvain, Il semble cette solution soit la solutio...

2012-01-05T10:16:38.699+01:00

Sylvain,

Il semble cette solution soit la solution "miracle", mais j'aurais quelques remarques:
- mettre en place ce genre de sécurité à un cout
- pour que cela soit valable il faut que tout le monde possède ce système
- dans le domaine bancaire introduire un équipement electronique ou informatique devient compliqué.

Je me permet ce commentaire car nous sommes en cours de réflexion sur cette problèmatique de remplacement de nos tokens et il semble qu'il n'ai pas de solution miracle, le token reste la solution la plus adapté.

Qu'en pensez-vous?

GM

C'est un peu comme si les informaticiens se me...

2011-07-20T21:34:15.316+02:00

C'est un peu comme si les informaticiens se mettaient à faire du journalisme...
La sensibilisation à la sécurité des systèmes d'information est indispensable. En ce sens, on ne peut que remercier la télévision d'avoir tenter de communiquer sur le sujet! Malheureusement, le scénario était mal choisi.
La démocratisation de sujet aussi pointu techniquement reste également un vrai challenge pour les responsables sécurité!
Qui sait, peut-être qu'un jour les campagnes de sensibilisation à la sécurité feront monter l'audimat ;-)

Effectivement ce reportage a fait couler beaucoup ...

2011-07-20T21:22:10.307+02:00

Effectivement ce reportage a fait couler beaucoup d'encre.

Les mauvaises langues iront jusqu'à dire que le seul système qui n'a pas été compromis par les experts de l'EPFZ est celui de l'UBS, mis au point par l'UBS avec des experts de... l'EPFZ!

Thanks Dug, I will have a look Sylvain

2011-07-06T23:29:36.562+02:00

Thanks Dug, I will have a look

Sylvain

This is an old exploit in OPIE, the one-time passw...

2011-07-06T16:25:21.606+02:00

This is an old exploit in OPIE, the one-time password library on FreeBSD, not OpenSSH. See http://seclists.org/fulldisclosure/2011/Jul/0 and http://site.pi3.com.pl/adv/libopie-adv.txt

For a better two-factor implementation for OpenSSH (that works with pubkey auth as well - PAM does not), check out http://www.duosecurity.com

Full disclosure: I'm a co-founder of Duo Security - and an OpenSSH author. :-)

Pour confirmer cela: OpenSSH 3.5p1 Remote Root Ex...

2011-06-30T18:25:54.827+02:00

Pour confirmer cela:

OpenSSH 3.5p1 Remote Root Exploit For FreeBSD http://packetstormsecurity.org/files/102683 #exploit

Le protocole SSH est, à ma connaissance, dit « sû...

2011-06-30T16:56:57.446+02:00

Le protocole SSH est, à ma connaissance, dit « sûr » algorithmiquement. Ses vulnérabilités proviennent entres autres de défauts d’implantations, de l’acceptation de choses obsolètes pour raison de compatibilité (tel que le protocole 1, de vieux algorithmes, …). Le hardening et l’utilisation de la version la plus récente permettent de restreindre au mieux la surface d’attaque. Toutefois, l’erreur (ou l’oubli) étant humaine ou encore l’apparition de vulnérabilités méconnues n’étant pas à exclure, la furtivité permet de cacher toute information susceptible de mettre un attaquant sur la voie d’une vulnérabilité potentielle du protocole mis en place.
Les attaques contre le protocole SSH sont multiples et il est difficile de dresser une liste représentative. Pour fixer les idées quant à ces attaques possibles contre openssh, par exemple, le site suivant fait un résumé de l’historique des vulnérabilités liées aux versions obsolètes : http://www.openssh.org/fr/security.html. Le chiffrement du handshake vise à éviter qu’un attaquant puisse facilement identifier une version obsolète du protocole utilisé, un chiffrement faible ou autre information qui permettrait d’utiliser une application automatisant l’attaque.

En espérant que cela réponde à vos interrogations.

Merci pour ce billet très intéressant, j'ai ce...

2011-06-17T09:31:24.932+02:00

Merci pour ce billet très intéressant, j'ai cependant une question sur la détermination de la version du SSH et sur l'écoute du Handshake.

A ma connaissance, seule la version 1 du SSH est vulnérable et à moins d'utiliser des clés de chiffrement très faibles (asymétrique pour l'échange de clé et symétrique pour le chiffrement des flux), il est quasi-impossible d’arriver au bout de ce protocole.

Il est sûr que l'OTP apporte une couche de sécurité supplémentaire, mais je souhaiterais savoir qu'elles sont les attaques réelles possibles contre ce protocole.

Merci !

very good interesting post

2011-06-12T11:46:25.680+02:00

very good interesting post

Merci pour votre commentaire. Je suis complétement...

2011-03-30T19:06:51.263+02:00

Merci pour votre commentaire. Je suis complétement en phase avec l'approche Open. Par contre je préfère utiliser soit TOTP, HOTP voir OCRA. Selon moi mOTP devient obselète (Utilisation de MD5). Par contre, c'est vrai, il y a beaucoup de support de mOTP.
Pour info vous pouvez utiliser la Class http://www.multiotp.net/ pour implémenter les algos de OATH.

Sylvain

Hello, de mon côté, je privilégie depuis longtemps...

2011-03-30T17:14:07.630+02:00

Hello, de mon côté, je privilégie depuis longtemps la génération de "passcode" en utilisant le protocole ouvert mOTP, cela au travers d'une application installable sur Android, iPhone, Windows Mobile, Java, etc.
Avec mOTP (motp.sf.net), le PIN doit être entré sur le téléphone pour générer le passcode correct, ainsi il ne passe jamais en clair ;-)

En plus, il est supporté par multiOTP.net, implémentation libre côté serveur en PHP, alors pourquoi s'en priver ?

C'est effectivement une piste qui donne du sen...

2011-03-23T18:15:02.722+01:00

C'est effectivement une piste qui donne du sens .....

Mais pas facile de savoir vraiment la réalité dans cette affaire.

Je trouve l'hypothèse avec la directive FFIEC ...

2011-03-23T18:05:32.222+01:00

Je trouve l'hypothèse avec la directive FFIEC très intéressante. Merci de l'avoir soumise !

test avec coche email de google ?????

2010-09-24T03:20:03.164+02:00

test avec coche email de google ?????

test avec OpenID Clavid

2010-09-24T03:19:25.120+02:00

test avec OpenID Clavid

test

2010-09-24T03:18:45.365+02:00

test

Test

2010-09-24T03:14:56.573+02:00

Test

Bonjour, C'est effectivement un sujet à la mod...

2010-04-19T21:33:53.334+02:00

Bonjour,
C'est effectivement un sujet à la mode. Je viens d'ailleurs de travailler dessus: l'utilisation d'un Trusted Platform Module dans le cadre de l'authentification forte (http://infond.blogspot.com).
Merci pour ces infos.
t0ka7a

Pour information, j'ai eu un contact avec le c...

2010-04-16T13:03:17.997+02:00

Pour information, j'ai eu un contact avec le constructeur. La nouvelle version du Soft Token permer maintenant d'initialiser le "seed" en mode sécurisé avec le protocole SSL/TLS.

La pression ca fonctionne :-)

Certes, le choix du HTTP est à...comprendre mais i...

2010-04-16T12:45:19.211+02:00

Certes, le choix du HTTP est à...comprendre mais il offre toutefois l'avantage d'être un problème très "solutionnable" avec la pression adéquate (pot de vin, chantage, menace, bière, pizza, etc.) si le reste de la solution répond au besoin.

Personnellement le fait que ca soit en HTTP serait...

2010-04-14T07:16:33.317+02:00

Personnellement le fait que ca soit en HTTP serait pour moi rédibitoire.....

Bonjour, Je viens de découvrir votre blogue ce ma...

2009-12-08T10:44:39.991+01:00

Bonjour,

Je viens de découvrir votre blogue ce matin. En lisant ce post, la partie suivante m'a interpellée :
"Il sera possible pour les entreprises et particuliers d'utiliser cet authentifieur SuisseID pour avoir un OpenID"

Auriez-vous plus d'information technique à ce sujet?

Meilleures salutations,
G.B.

Merci Sylvain. We are working on two pilots right...

2009-11-26T17:24:05.877+01:00

Merci Sylvain.

We are working on two pilots right now with pre-selected business customers. They like the two-factor security credential, and the fact that the LoginTC federates with Internet SSO apps.

We are also open to partnerships and/or distributors in Europe. We understand Europeans are more progressive in the federation field, and a 2FA federated credential may be the extra peace of mind they may embrace.

Have you tried the LoginTC? Go and register for a demo test with your own USB flash drive at:

http://www.logintc.com/registration

and experience how Google apps and SugarCRM federate with your USB drive.

Hernan

Hello Herman, Thanks for your comment. And bravo ...

2009-11-25T23:26:15.037+01:00

Hello Herman,

Thanks for your comment. And bravo for your services using SAML and Strong Authentication.

Do you have a lot of users now ?

Sylvain

I totally agree with Jason with respect to federat...

2009-11-25T16:14:23.055+01:00

I totally agree with Jason with respect to federated id and the use of internet applications in the cloud with a single credential. The risk, as he points out, is the vulnerability of maintaining the traditional userid/password paradigm and exposing the risk of identity or document theft across multiple domains.

We have developed a comprehensive federated solution with the LoginTC (www.logintc.com). Its ability to provide roaming users with a two-factor authentication, combined with SAML-enabled capabilities makes it the most comprehensive solution in the marketplace. The user only needs to enable a USB flash drive.

Looking forward, it will be extremely beneficial to ensure that not only corporate business access is achieved, but personal online banking and online payment can also be integrated.

Great insight from Jason.

Hernan M.